بخشی از مقاله
چکیده
یکی از مهمترین اجزاي سازنده سامانههاي مدیریت اطلاعات، فرایند ارزیابی ریسک است. فرایند ارزیابی ریسک به سازمان این امکان را میدهد که نقاط ضعف و تهدیدات امنیتی خود را شناسایی و متناسب با ریسک هایتعیینشدهراهکارهاي مناسب جهت مقابله با آن ها اتخاذ نماید. هدف از این تحقیق شناسایی ریسکهاي موجود در حوزهي ارتباطات و فناوري اطلاعات و مشخص کردن اولویت هر یک از این ریسکهابهوسیلهدادهکاوي است.
تحقیق حاضر ازلحاظ هدف کاربردي است . براي تجزیهوتحلیل اطلاعات از مدل شبکه عصبی استفادهشده و نتایج با استفاده از نرمافزار کلمنتاین موردبررسی و تجزیه تجلیل قرار گرفت. با توجه به نتایج بهدستآمده توسط نرمافزار، ریسکهاي موجود در حوزهي ارتباطات و فناوري اطلاعات سازمان نمونهبه ترتیب زیر میباشد..1 ریسکهاي خطر یا ایمنی، .2 ریسکهاي عملیاتی، .3 ریسکهاي استراتژیک و.4 ریسکهاي مالی. با توجه به نتیجه بهدستآمدهریسکهاي خطر یا ایمنی جزو اصلیترینریسکهاي سازمان محسوب میشوند و در این قسمت نظارت دقیق بر محصولات و خدمات سازمان - اعم از زیرساختی، اطلاعاتی و سایبري - باید صورت گیرد.
مقدمه
در دنیاي کنونی، اطلاعات باارزشترین دارایی هر سازمان محسوب میشود و باید آن را کالاي اساسی هر سازمان دانست. همانند الکتریسیته که بدون آن بسیاري از کسبوکارهانمیتوانندبهسادگی جریان داشته باشند. اطلاعات نیز ارزشمندترین دارایی هر سازمان شمرده میشود و عامل بسیار حیاتی براي موفقیت سازمان است. ازاینرو عالیترین سطح مدیریت که براي رسیدن سازمان به موفقیت پاسخگو است مسئولیت حفاظت از اطلاعات سازمانی را بر عهده دارد.
هر فعالیتی با ریسک و مخاطره همراه است و انسانها از زمانهاي بسیار دور به این مفهوم پی بردهاند و به دنبال شناسایی عوامل و منابع آن هستند. ازاینرو مطالعات زیادي بهمنظور شناسایی و بررسی عوامل مؤثر بر امنیت اطلاعات انجامگرفته است. مدیریت ریسک، یک فرآیند جامع است که بهمنظور تعیین، شناسایی، کنترل و حداقل نمودن تأثیرات و عواقب رویدادهاي احتمالی مورداستفاده قرار میگیرد. هدف مدیریت ریسک، کاهش ریسک اجرایی برخی فعالیتها و فرآیندها به سطح قابلقبول و کسب تائید مدیریت ارشد است. مدیریت ریسک از چهار فرآیند مجزا تشکیلشده است:
تجزیهوتحلیلریسک، ارزیابی ریسک، کاهش ریسک، ارزیابی آسیبپذیري و ارزیابی کنترلها. مهمترین فایده ارزیابی ریسک، کمک به تصمیمگیري صحیح براي انتخاب راهحلهاي امنیتی است.طبعاً مدیران وقت و حوصله ورود به جزئیات فوق را ندارند، لذا خروجی ارائهشده به آنهاتوسط ما که معمولاً مسئول انجام ارزیابی هستیم اعداد و ارقام و نمودارهایی است که به تصمیمگیریآنها کمک میکند.
ارزیابی ریسک میتواند لزوم هزینه کردن براي امنیت را به تصمیم گیران سازمان اثبات کند. نتایج ارزیابی ریسک به جهتگیري صحیح در انتخاب راهحلها - که همانا دفع تهدیدهاي اصلی است - کمک میکند، همچنین میتواند در تولید و اصلاح خطمشیهاي امنیت سازمان استفاده شود. با توجه به محدوده تحقیق - حوزهي ارتباطات و فناوري اطلاعات - که یکی از مهمترینحوزههاي هر سازمان است ودائماً با انتقال داده و اطلاعات سروکار دارد و خود یکی از گذرگاههاي انتقالی اطلاعات و اینترنت میباشد باید بهصورت کامل از ریسکهاي موجود در این حوزه آگاهی داشت و آن را مدیریت کرد.
ادبیات تحقیق
اطلاعات یکی از مهمترین ارکان در تصمیمگیريهاي کلیدي امروزي محسوب میگردد. در بسیاري از سازمانها و بخشهاي جامعه و حتی در موارد شخصی، از بین رفتن اطلاعات و یا آسیب دیدن آنها منجر به وارد آمدن لطمات غیرقابلجبران شده و شاید احیاي مجدد آنها امري بسیار مشکل و پرهزینه باشد. امنیت اطلاعات درواقع محافظت از اطلاعات در برابر طیف وسیعی از تهدیدات شامل دسترسی، کاربرد، افشاء، قطع، تغییر یا انهدام غیرمجاز اطلاعات است که باهدف تضمین استمرار فعالیتهاي کاري، به حداقل رساندن ریسکهاي کاري و به حداکثر رساندن میزان بازده سرمایهگذاريها و فرصتها صورت میپذیرد.
در تثبیت امنیت اطلاعات، عناصر کلیدي " محرمانگی، یکپارچگی و تمامیت، در دسترس بودن، عدم انکار، تصدیق، کنترل دسترسی "نقش بسزایی دارند. توفیق در ایمنسازي اطلاعات منوط به حفاظت از اطلاعات و سیستمهاي اطلاعاتی در مقابل حملات است. بدین منظور از سرویسهاي امنیتی متعددي استفاده میگردد سرویسهاي انتخابی، میبایست پتانسیل لازم در خصوص ایجادیک سیستم حفاظتی مناسب، تشخیصبهموقع حملات و واکنش سریع را داشته باشند. بنابراین میتوان محور استراتژي انتخابی را بر سه مؤلفه حفاظت، تشخیص و واکنش استوار نمود.
حفاظت مطمئن، تشخیصبهموقع و واکنش مناسب ازجمله مواردي است که میبایست همواره در ایجادیک سیستم امنیتی رعایت گردد. سازمانها و مؤسسات، علاوه بر یکپارچگی بین مکانیزمهاي حفاظتی، میبایست همواره انتظار حملات اطلاعاتی را داشته و لازم است خود را به ابزارهاي تشخیص و روتین هاي واکنش سریع، مجهز تا زمینه برخورد مناسب با مهاجمان و بازیافت اطلاعات در زمان مناسب فراهم گردد.
نواحی کنترل امنیت اطلاعاتعبارتاند از: خطمشی امنیت اطلاعات، سازماندهی امنیت اطلاعات، مدیریت دارایی، امنیت فیزیکی و محیطی، ارتباطات و عاملهاي مدیریتی، کنترل دسترسی، اکتساب سیستمهاي اطلاعاتی، توسعه و نگهداري، امنیت منابع انسانی، امنیت اطلاعات و رویدادهاي مدیریتی، مطلوبیت - قبول - ، دوام مدیریت کسبوکار. با ظهور فناوري هاي نوین اطلاعاتی و لزوم پاسخ گوئی و همگامی سازمانها با این فناوري، لزوم بهکارگیري مدیریت ریسک و روشهاي آن در ایجاد و نگهداري سیستمهاي مبتنی بر اطلاعات که با یکی از مهمترین منابع سازمان، یعنی اطلاعات، سروکار دارند نمایانتر شده است.
درواقع مدیریت ریسک فناوري اطلاعات به معناي شناسایی، ارزیابی و کاهش ریسکهاي موجود در ایجاد و بهکارگیریسیستمهاي اطلاعاتی تا سطح موردقبول است. فرایند ارزیابی ریسک سه مرحله دارد: شناسایی ریسک تخمین ریسک ارزشیابی ریسک هدف از شناسایی ریسک تعیین تبعات ناشی از ایجاد یک ضرر بالقوه است و اینکه این ضرر، چگونه و کجا ممکن است رخ دهد.
تخمین ریسک به دو صورت تخمین کیفی؛ این روش براي توصیف میزان پیامدهاي بالقوه و تخمین کمی؛ تخمین کمی هم از مقیاس عددي - بهجاي مقیاس توصیفی - با استفاده از دادههاي حاصل از منابع متنوع استفاده میکند. در ارزشیابی ریسکسطح مخاطرات باید با معیارهاي ارزیابی ریسک و معیارهاي پذیرش ریسک مقایسه شوند. معیارهاي ارزیابی ریسک مورداستفاده براي تصمیمگیري باید با زمینه مدیریت مخاطرات امنیت اطلاعات داخلی و خارجی تعریفشده و مطابق بوده و اهداف سازمانی و دیدگاههاي ذینفعان را مدنظر قرار دهند.
دادهکاوي مجموعهاي از روشها در فرآیند کشف دانش میباشد که براي تشخیص الگوها و روابط نامعلومدر داده هامورداستفاده قرار میگیرد. بهطورکلی میتوان اهداف دادهکاوي را دو گروه بزرگ پیشبینی1 و توصیف2، طبقهبندي نمود. حوزه فناوري اطلاعات یکی از مهمترین ارکان یک جامعه است کهدائماً در حال نقلوانتقال اطلاعات از داخل به خارج و بالعکس میباشد. بر همین اساس ضروري است که ریسکهاي موجود در این حوزه شناسایی و براي آنها تدابیري اندیشیده شود. بر همین اساس ریسکهاي موجود با استفاده از مطالعه مقالات و پیشینههاي تحقیقی گذشته سنجیده شد که به شرح زیر میباشد.
الف - ریسکهاي استراتژیک3
ب - ریسکهاي مالی4
ج - ریسکهاي عملیاتی5
د - ریسکهاي خطریاایمنی6با توجه به حجم داده بالا تنها راهی که میتوان این ریسکها را در سازمان شناسایی کرد استفاده از دادهکاوي است. دادهکاوي دانش نهان موجود در دادهها را شناسایی و در اختیارمان قرار میدهد.
